Trojan.vundo.h und backdoor.bot entfernt - aber keine Internetverbindung möglich

#16 Sehr schön, dann runter mit dr web.
hab grad gesehen, blacklight hast du auch als image hochgeladen, wurde da was gefunden?
start ausfüren
combofix /u
enter
nun stell antivir wie folgt ein:
http://board.protecus.de/t23979.htm
zusätzlich rootkitsuche an
update, scanne all deine Festplatten, funde in Quarantäne, log posten + neues hijackthis Log.
Wir sollten dann auch bald fertig sein ;-)

#17 Blacklight hatte auch keine Funde

Festplatten scannen kann ein bisschen dauern, da hab ich nämlich ziemlich viele mit vielen Daten... :-)

bis später

#18 ja, aber wir wollen ja gründlich sein.

#19 so... war unterwegs, hier jetzt endlich das Ergebnis.
sieht doch gut aus.
Gab zwar ein paar Trojaner in Archiven, aber alles halb so wild.
Die identifizierten "Spaßprogramme" habe ich selber runtergeladen.




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 15. März 2009 17:12

Es wird nach 1297172 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Holger
Computername: HK

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:12:17
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 09:13:05
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 09:13:05
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 09:13:05
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 09:52:33
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 13:49:27
ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 16:08:16
ANTIVIR3.VDF : 7.1.2.170 60416 Bytes 13.03.2009 16:07:53
Engineversion : 8.2.0.114
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 20:19:20
AESCRIPT.DLL : 8.1.1.63 364923 Bytes 13.03.2009 16:07:55
AESCN.DLL : 8.1.1.8 127346 Bytes 06.03.2009 13:28:34
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 20:46:35
AEPACK.DLL : 8.1.3.10 397686 Bytes 05.03.2009 12:25:36
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 02.03.2009 12:25:35
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 06.03.2009 13:28:34
AEHELP.DLL : 8.1.2.2 119158 Bytes 02.03.2009 12:25:35
AEGEN.DLL : 8.1.1.28 336244 Bytes 13.03.2009 16:07:54
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 16:47:24
AECORE.DLL : 8.1.6.6 176501 Bytes 18.02.2009 11:21:15
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 16:47:23
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 09:13:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 09:13:05
AVREP.DLL : 8.0.0.2 98344 Bytes 04.08.2008 09:44:33
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 09:13:05
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 10:00:00
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 09:13:05
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 10:00:00
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 09:13:05
NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 10:00:00
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 09:13:03
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 09:13:03

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:, G:, I:, J:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 15. März 2009 17:12

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '36416' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'veohwebplayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinRAR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSNGive.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsnLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cfp.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'MacDrive.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MacDriveService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cmdagent.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '54' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Workstation>
C:\WINDOWS\SysInternals Bluescreen.scr
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/BlueScreen.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a3036c1.qua' verschoben!
Beginne mit der Suche in 'D:\' <Film Produktion>
Beginne mit der Suche in 'E:\' <MyFiles>
E:\Dokumente und Einstellungen\Holger\Desktop\destroy DT\buttons.exe desktop.exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Button
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a314020.qua' verschoben!
E:\Dokumente und Einstellungen\Holger\Desktop\destroy DT\drunk.exe desktop.exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Drunken
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a32401d.qua' verschoben!
E:\Dokumente und Einstellungen\Holger\Desktop\destroy DT\fdd.exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Stressreducer
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a214010.qua' verschoben!
E:\Dokumente und Einstellungen\Holger\Desktop\destroy DT\puzzle.exe desktop.exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wirrwarr
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a374021.qua' verschoben!
E:\Dokumente und Einstellungen\Holger\Desktop\destroy DT\zitter.exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a314016.qua' verschoben!
E:\emule Daten\Incoming\EvID4226Patch223d-de.zip
[0] Archivtyp: ZIP
--> EvID4226Patch.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.EvID4226
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0641ef.qua' verschoben!
E:\emule Daten\Incoming\CD archives\Soundtrack.-.Halbe.Treppe.-.17.Hippies.-.192.kbit.-.cover.-.jb.ace
[0] Archivtyp: ACE
--> Soundtrack - Halbe Treppe\11 Die Oros.mp3
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
E:\emule Daten\Incoming\patchs\Chikan wa Hanzai WinAll + NoDVD crack.DeathMarine.ace
[0] Archivtyp: ACE
--> WinAll and NoDVD crack\DeathMarine.txt
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
E:\programm setups\Setup_AltoMP3Gold.exe
[0] Archivtyp: NSIS
--> Settings/altodrm.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Armadillo). Bitte verifizieren Sie den Ursprung dieser Datei.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a314d0e.qua' verschoben!
E:\programm setups\crackz\All Adobe CS4 Keygens.rar
[0] Archivtyp: RAR
--> All Adobe CS4 Keygens\Adobe CS4 Master Collection Keygen\adobe-master-cs4-keygen.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.BZW
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a294dbe.qua' verschoben!
E:\programm setups\crackz\AnyDVD6_1_6_1_PATCH\ADVD6160RES\AnyDVD.v6.x.x.x-RES-patch\anydvd.v6.x.x.x-patch.exe
[FUND] Enthält Erkennungsmuster des SPR/Hacktool.79360-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a364dc6.qua' verschoben!
E:\programm setups\screen saver\BlueScreen.zip
[0] Archivtyp: ZIP
--> SysInternals Bluescreen.scr
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/BlueScreen.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a324fff.qua' verschoben!
Beginne mit der Suche in 'F:\' <Extra30>
Beginne mit der Suche in 'G:\' <Material>
Beginne mit der Suche in 'I:\' <System 2>
Beginne mit der Suche in 'J:\' <Video Daten>
J:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
J:\Temp Musik und Ideen chile 09\audition Setup Files\Adobe.Audition.v3.0.Multilingual.Retail.Incl.Keymaker.READ.NFO-AGAiN.rar
[0] Archivtyp: RAR
--> Adobe.Audition.v3.0.Multilingual.Retail.Incl.Keymaker.READ.NFO-AGAiN\Keygen.EXE
[FUND] Ist das Trojanische Pferd TR/Packed.2537
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2c56b2.qua' verschoben!


Ende des Suchlaufs: Sonntag, 15. März 2009 20:28
Benötigte Zeit: 3:16:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

15150 Verzeichnisse wurden überprüft
958350 Dateien wurden geprüft
12 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
12 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
958337 Dateien ohne Befall
7972 Archive wurden durchsucht
3 Warnungen
12 Hinweise
36416 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden






Und hier noch HijackThis-Log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:50, on 15.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Mediafour\MacDrive 7\MacDrive.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Post It Notes Lite\PsnLite.exe
C:\PROGRA~1\POSTIT~1\PSNGive.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Comodo\COMODO Internet Security\cfp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HJt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [Neuer Wert #1] sndrec32 /play /close /embedding winintro.wav
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [{B179023B-6238-4499-8F26-CD73E9D90E0A}] "C:\Programme\Mediafour\MacDrive 7\MacDrive.exe"
O4 - HKLM\..\Run: [MDGetStarted.exe] "C:\Programme\Mediafour\MacDrive 7\MDGetStarted.exe" /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\Comodo\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programme\Post It Notes Lite\PsnLite.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7D81C75-EB6E-4CC5-8B20-5CA22687ADBC}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\Comodo\COMODO Internet Security\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MacDriveService - Mediafour Corporation - C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6724 bytes

#20 hallo, wen in deinen cracks und keygens die, übrigens, nicht legal sind! Viren gefunden werden, wird das schon was heißen, Ich würde antivir so eingestellt lassen, aber jokes kannst auf jeden fall rausnehmen ;-)
erstelle mal bitte einen ordner, den du leicht findest, ich möchte das du folgendes prüfst:
E:\programm setups\Setup_AltoMP3Gold.exe
[0] Archivtyp: NSIS
--> Settings/altodrm.dll
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Armadillo). Bitte verifizieren Sie den Ursprung dieser Datei.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a314d0e.qua' verschoben!

also öffne antivir, suche die betreffende datei in der quarantäne wähle wiederherstellen in, und den von dir erstellten Ordner.
gehe nun zu dieser seite:
http://www.virustotal.com/en/indexf.html
prüfe die Datei und poste das Ergebniss.

#21 Sieht doch gut aus...

[Nachtrag: Huch, da haben sich wohl durch Zeichenfolgen Smileys gebildet (etwa in der Mitte)...]



Datei Setup_AltoMP3Gold.exe empfangen 2009.03.16 14:00:06 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.16 -
AhnLab-V3 5.0.0.2 2009.03.16 -
AntiVir 7.9.0.114 2009.03.16 -
Authentium 5.1.0.4 2009.03.15 -
Avast 4.8.1335.0 2009.03.16 -
AVG 8.0.0.237 2009.03.16 -
BitDefender 7.2 2009.03.16 -
CAT-QuickHeal 10.00 2009.03.16 -
ClamAV 0.94.1 2009.03.16 -
Comodo 1059 2009.03.16 -
DrWeb 4.44.0.09170 2009.03.16 -
eSafe 7.0.17.0 2009.03.15 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.15 -
F-Secure 8.0.14470.0 2009.03.16 -
Fortinet 3.117.0.0 2009.03.16 -
GData 19 2009.03.16 -
Ikarus T3.1.1.45.0 2009.03.16 -
K7AntiVirus 7.10.671 2009.03.14 -
Kaspersky 7.0.0.125 2009.03.16 -
McAfee 5554 2009.03.15 -
McAfee+Artemis 5554 2009.03.15 -
McAfee-GW-Edition 6.7.6 2009.03.16 -
Microsoft 1.4405 2009.03.16 -
NOD32 3938 2009.03.16 -
Norman 6.00.06 2009.03.13 -
nProtect 2009.1.8.0 2009.03.16 -
Panda 10.0.0.10 2009.03.15 -
PCTools 4.4.2.0 2009.03.16 -
Prevx1 V2 2009.03.16 -
Rising 21.21.02.00 2009.03.16 -
Sophos 4.39.0 2009.03.16 -
Sunbelt 3.2.1858.2 2009.03.15 -
Symantec 1.4.4.12 2009.03.16 -
TheHacker 6.3.3.0.283 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.16 -
VBA32 3.12.10.1 2009.03.16 -
ViRobot 2009.3.16.1650 2009.03.16 -
VirusBuster 4.6.5.0 2009.03.15 -
weitere Informationen
File size: 1566527 bytes
MD5...: ba4ddf6689a1b46c27731d3192165304
SHA1..: 8db21096423ed02d853b5cc33658e2300194493e
SHA256: b5ba01ac7832e0494f9b774fd91bcdfee6d7dba9a4cb9325ad6b0aa9c07cd59a
SHA512: bd348c82002c11a36481949d9ecd0b7bd7666249f87298d71279f7dba50bbd1e
144ff849e436cc2f12eb16e01bc09032f455f0c76046d0784eece32d3273ba69
ssdeep: 24576Uamp+aYAUhRZCe2Q3Dt+Hzo+UJFcuHmRXSIM7zdC25A8MC6kzznSEaq
hTCe28Dtqzo2uHmRXNkvMC/v
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x32d9
timedatestamp.....: 0x4502d342 (Sat Sep 09 14:44:18 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5a3c 0x5c00 6.40 6f78fc1de8f5f67eabee63c82d06fe57
.rdata 0x7000 0x10f2 0x1200 5.05 8e200768cddae49a4df8d340f3025521
.data 0x9000 0x1b814 0x400 5.13 709e767046a1d70f97c766d422853f45
.ndata 0x25000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x2e000 0x6dc0 0x6e00 5.73 261bb04d3f13307fe831c2394821914d

( 8 imports )
> KERNEL32.dll: CloseHandle, SetFileTime, CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, CreateFileA, GetFileSize, GetModuleFileNameA, GetTickCount, lstrcmpiA, CopyFileA, ExitProcess, GetCommandLineA, GetWindowsDirectoryA, GetTempPathA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, lstrcmpA, GetEnvironmentVariableA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, SetErrorMode, GetModuleHandleA, LoadLibraryA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetCurrentProcess
> USER32.dll: ScreenToClient, GetWindowRect, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, OpenClipboard, EndDialog, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxA, CharPrevA, DispatchMessageA, PeekMessageA, CreateDialogParamA, DestroyWindow, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, RegisterClassA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, TrackPopupMenu, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetMalloc, SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
packers (Kaspersky): Armadillo

#22 ja die datei ist ok.
http://v4.windowsupdate.microsoft.com/de/
besuchen, spiele alle wichtigen updates ein. sp3 und ie 7 mach das so oft, bis keine updates mehr angeboten werden, poste erneut ein hijackthis-log.